应用转型-利用VMwarePKS打造企业级容器服务

利用VMwarePKS打造企业级容器服务议程1现代应用发展趋势及挑战2VMware

PKS企业级容器服务3PKS架构及部署和运维K8s集群4与VMware其他云管产品的集成5如何为容器应用选择合适工具？2现代应用发展趋势及挑战4来自应用的需求正在驱动客户的云战略和方向SaaS平台更新保持应用现状迁移到新环境应用重构修改应用，以适应企业内部或公共云的新运行环境多层混合将多层应用的一部分迁移到公共云全面替换从商业包装的应用转换成SaaS服务为云开发在企业内部或公共云中部署新的云原生应用现状维持在现有环境下保持应用现状云原生应用加速上市•革新•扩展•差异既有应用降低成本•安全•可靠•控制云战略必须与应用需求相匹配业务需求在影响应用架构应用架构在影响IT架构5传统应用VS云原生应用需求明确不断升级紧耦合不可复用需求变化快速迭代模块化松耦合传统应用云原生应用修补无需担心对运行数千个应用的平台组件进行修补。

扩展无缝扩展平台组件，可满足不断变化的

需求。

升级如何在确保正常运行的情况下部署新版本的平台？运维工作量运维一个平台应只需少量资源以及尽可能少的手动干预。否则，应考虑它是否确实能提供运维优势？多种云环境为任何云环境提供可靠的流畅体验。开放API

允许平台通过不同的工具集进行操作以及创建CD管道。

一致性跨不同云环境配置提供一致的设置体验。

设置时间完成设置一个真实的工作环境需要多长时间？打算用几小时，而不是数周时间。初始-构建后续-运维现代应用环境面临的挑战6VMware

PKS企业级容器服务企业生产环境与开发环境中的容器的不同开发中的容器生产中的容器“学习悬崖”负载均衡安全性高可用性应用更新扩展/收缩可重复的部署复制调度容器容器89Kubernetes在开源项目中的领先地位Kubernetes在企业级环境中运维的不足高可用性.集群节点本身不具备开箱即用的可用性，

(Masters,Workers

andetcdnodes)。伸展性.Kubernetes集群处理节点上的pod/服务，但没有提供扩展的机制给Workers,Masters和etcd虚机。

健康检查和治愈.Kubernetes集群只对运行在节点上的工作负载的健康进行常规的健康检查。

升级.

在大型集群上进行滚动升级是很困难的。谁管理它运行的系统?10BOSH可弥补Kubernetes运维的不足包装有嵌入式的OS服务器可部署在多种IaaS上跨可用区的软件部署健康监控(服务器和进程)带复活功能的自修复存储管理金丝雀滚动升级集群易于伸缩11BOSH是CloudFoundry的开源项目，用Release进行版本管理。用于发布、部署、生命周期管理和分布式系统监控。

BOSH一体化编排、管理和运维Kubernetes集群Kubo开源项目的诞生目的：在任何云上，用统一的方法来实例化、部署和管理高可用的Kubernetes集群。方式：Kubo把Kubernetes转化为BOSH的一个Release，用BOSH来运维管理k8s。“Day1”构建通过BOSH部署Kubernetes集群“Day2”运维可自愈虚机，通过BOSH监控弹性扩展的集群滚动升级到最新的Kubernetes版本高可用性和多AZ支持122017年2月由Pivotal和Google联合推出，于2017年6月贡献给CloudFoundry基金。提供用于部署和管理Kubo版本的控制平面由VMware、Pivotal和谷歌联合开发使用开源Kubernetes构建：与BOSH负责运营的当前稳定的Kubernetes版本保持兼容。非专有扩展。

生产就绪型：从应用到基础架构的高可用性，不存在任何单点故障。内置运行状况检查、扩展、自动修复和滚动升级。

多种云环境：BOSH提供可靠的一致运维体验。适用于任何云环境。网络管理和安全性：通过VMwareNSX-T可实现即时可用。多种云环境，多hypervisor。GCPAPI访问：借助GCP服务代理，应用可从任意位置以透明方式访问GoogleCloudAPI。轻松地将工作负载移入/移出GoogleContainerEngine(GKE)。

全自动运维：全自动部署、扩展、修补、升级。无需停机。还可使用CD管道部署您的平台。13Master节点、Worker节点和etcd节点的容错自动扩展Master节点、Worker节点和etcd节点

集群的日常运行状况检查和自我修复LCM包括用于确保工作负载正常运行的滚动升级扩展高可用性运行状况

检查和修复生命周期管理VMwarePKS——

提供企业级就绪的Kubernetes容器集群服务14PKS架构及部署和运维K8s集群VMwarePKS分析自动化安全运维监控日志物理基础设施ContainerRegistryvSpherevSANKubernetesonBOSH(Kubo)NSX

-

TBOSHGCPService

BrokermasteretcdworkermasteretcdworkerVMware

PKS提供了企业级就绪的Kubernetes16WorkeretcdetcdKubernetesetcdMasterMasterWorkerWorkerBOSHThisformstheOpenCoreofPivotalContainerService(PKS)ReleasetemplatesManifestKuboReleaseboshdeployKubo提供了K8S组件的规范17WorkeretcdetcdetcdMasterMasterWorkerWorkerBOSHThedefinitionofeachofthenodesinthecluster,including:Thebitsinstalledonanode(packages)Theprocessesstartedonanode(jobs)Thedefinitionofeachofthenodesinthecluster,including:Thebitsinstalledonanode(packages)Theprocessesstartedonanode(jobs)集群中每个节点的定义，包括:在节点上安装的代码(packages)在节点上启动的进程(jobs)参数化BOSHrelease集群的期望状态的声明:从BOSHreleases中组装组件(关系，

依赖)参数值BOSHdeployment与底层基础设施的关系BOSHcloudconfigKubernetes18从BOSH开始...

MessageBusvSphereBOSH

DB

BOSHDirector

Blobs

HealthMonitor部署PackagesBlobsSourceJobsManifest部署我的

K8sWorkerVMsetcdTargetVMMasterTargetVMWorkerTargetVM部署Kubernetes集群1920PKSServiceBrokerReleasetemplatesManifestKuboReleaseBOSH部署引擎21PKSServiceBrokerReleasetemplatesManifestKuboReleaseBOSH创建集群(带有升级策略)支持多租户22PKSServiceBrokerReleasetemplatesManifestKuboReleaseBOSH创建集群(带有升级策略)

负载均衡访问应用

支持动态负载均衡update:canaries:1max_in_flight:1serial:truecanary_watch_time:10000-300000update_watch_time:10000-300000K8s集群升级:金丝雀部署Manifest23v1.0v1.1金丝雀的数量:2同时升级数量:2示例:Canaries24K8s集群升级:金丝雀部署金丝雀的数量:2同时升级数量:2示例:v1.1v1.2一旦失败，金丝雀虚机会被保留用于故障定位的目的25K8s集群升级:金丝雀部署VMwarePKS分析自动化安全运维监控日志物理基础设施ContainerRegistryvSpherevSANKubernetesonBOSH(Kubo)NSX

-

TBOSHGCPService

BrokermasteretcdworkermasteretcdworkerVMware

PKS提供了企业级就绪的Kubernetes26Harbor

——为容器应用提供企业级Registry服务用户管理和访问控制基于角色的访问控制AD/LDAP集成安全性

漏洞扫描

内容信任-映像签名基于策略的映像复制

审核与日志RESTfulAPI轻量级的轻松部署基于Apache2许可证开源27通过公证服务实现的内容信任推送期间由发布者的私钥签名的映像提取期间使用发布者的公钥验证的映像视情况而定，可能无法提取未签名的

映像Harbor

——内容信任、映像签名和验证28漏洞扫描推送到注册表时扫描设置漏洞阈值视情况而定，如果超过阈值，可能会阻止提取映像基于更新的漏洞数据库定期

扫描VMware

Harbor

——映像漏洞扫描29VMwarePKS分析自动化安全运维监控日志物理基础设施ContainerRegistryvSpherevSANKubernetesonBOSH(Kubo)NSX

-

TBOSHGCPService

BrokermasteretcdworkermasteretcdworkerVMware

PKS提供了企业级就绪的Kubernetes3031PaaSControlPlaneetcdAPI-ServerSchedulerNCMInfraKubernetes

AdapterCloudFoundryAdapterLibnetworkAdapterNSXContainerPluginMesosAdapterNSXManagerAPIClientProj:fooProj:barNSXtopologyforK8s/CFNSXContainerPlugin(NCP)与Kubernetes的集成NSXFeaturesforK8sPODsIP地址为每个容器/POD容器网络–路由(BGP)和NAT模式

微分段–通过K8s网络策略或原生NSXAPI(映射K8slabels到NSXtags)网络与安全的自动化–作为应用部署的一部分创建多租户网络拓扑NSX-T为传统及云原生应用提供网络及安全服务与VMware其他云管产品的集成VMwarePKS分析自动化安全运维监控日志物理基础设施ContainerRegistryvSpherevSANKubernetesonBOSH(Kubo)NSX

-

TBOSHGCPService

BrokermasteretcdworkermasteretcdworkerVMware

PKS提供了企业级就绪的Kubernetes33结构化数据指标报警事件VMwarevRealizeOperations容量、性能和配置管理事件上下文启动非结构化数据日志消息VMwarevRealizeLogInsight日志分析、汇聚及搜索虚拟化/容器化应用vRealizeOps,vRealizeLogInsight提供综合的可视性34K8SSummary–Nodes,Pods,etc.K8STopology-HealthK8SPods-HealthvRealizeOps——

监控Kubernetes集群

35目录授权、审批、策略CD管道开发人员，CI/CDLOB用户管理和运维私有云或数据中心公有云分支机构/边缘计算应用框架PAASCAASFAAS全球一致的基础架构即代码IAAS编排蓝图云计算API云计算API

使用任何云环境

中的原生服务1蓝图和迭代开发迭代使用简化的YAML

构建应用2集成式的目录和管道适用于自服务的目录和CI/CD管道3vRealizeAutomation——

简化开发人员的使用36后端的UI和API高级分析引擎指标收集及存储迭代与故障定位异常时的趋势及报警大规模可视化指标自服务度量分析工程和商业WavefrontByVMware——基于SaaS的指标监测和分析平台37AppContainersDockerHostDockerSwarmContainerMetricCollectorDockerHostDockerHostDockerClusterAmazonECS实时洞察Docker容器及编排系统支持Kubernetes,PivotalCloudFoundry,AmazonECSWavefront——可支持容器的监控套件38如何为容器应用选择合适工具？IaaS开发人员

提供工具

提供容器服务容器编排容器调度适用于路由、

日志和指标的基元容器映像、模板、部署应用平台应用代码容器服务